Het DNS Security Dilemma: Kies je Privacy of Veiligheid

Is jouw DNS authenticatie veilig ingericht? Als je dit goed inricht, dan hoef je niet in te leveren op de veiligheid of privacy van jouw organisatie.

Security en privacy, de grootste uitdagingen van ons internet waren in de vroege dagen van het web gek genoeg nog helemaal geen thema. De technologie was toen nog zo nieuw en innovatief dat cybercriminelen nog niet eens bestonden. Inmiddels weet iedereen dat de online wereld er compleet anders uitziet. En toch draait het internet nog steeds op een aantal systemen die sinds het begin bijna niks veranderd zijn. DNS, ofwel het "Domain Name System" is er zo één.

DNS is van cruciaal belang, want het zorgt voor de vertaling van domeinnamen naar IP adressen - en zonder deze vertaling werkt nagenoeg niets op het internet meer. Nu kent DNS inmiddels wel wat uitbreidingen zoals "DNSSec", "DNS over TLS" en "DNS over HTTPS". Maar daar ontstaat ook het huidige DNS security dilemma, want als je het niet goed inricht, dan moet je kiezen tussen óf veiligheid óf privacy. Hoe dat dilemma ontstaat en hoe je dit kunt oplossen lees je in dit artikel

Hoe werkt DNS verificatie?

Bij gebruik van het DNS protocol stuurt het apparaat van een gebruiker (de "client") een verzoek naar een server (de "resolver") om de eigenaar van een website te verifiëren. Dus, als je naar de website www.voorbeeld.com surft, dan vraagt de client aan de resolver wat het IP adres van deze website is om deze te verifiëren.

Bij deze aanvraag zoekt de resolver dan stap voor stap naar een antwoord. Eerst wordt aan een "rootserver" gevraagd wie iets kan vertellen over ".com" domeinen. Dan wordt bij de ".com" server gevraagd welke server meer kan vertellen over "voorbeeld.com". Tot slot wordt bij de "voorbeeld.com" server gevraagd wat het adres van www.voorbeeld.com is. Als laatste stap wordt het antwoord door de resolver teruggegeven aan de client. Het is een prachtige oplossing die ook behoorlijk goed schaalbaar is, maar het probleem is dat het basis DNS protocol geen enkele vorm van beveiliging bevat.

Wat zijn de beveiligingsrisico's van DNS?

Alle DNS communicatie tussen de client en resolver die bedoeld is ter verificatie kan onderweg afgeluisterd en zelfs aangepast worden door derden. Het standaard DNS protocol faalt dus op gebied van integriteit (is het antwoord van de resolver wel echt het juiste antwoord?) en vertrouwelijkheid (wie heeft onderweg allemaal meegekeken bij deze vraag?).

Daarom zijn er een aantal extensies ontwikkeld om deze veiligheidsrisico's af te vangen. Allereerst DNSSec, ofwel "Domain Name System Security Extensions", is een techniek voor authenticatie van het verkeer tussen de resolver en de diverse DNS servers. Op die manier kan gegarandeerd worden dat het antwoord dat de resolver verzamelt ook daadwerkelijk correct is. Het is een prima toevoeging, want het lost het probleem van integriteit grotendeels op. Het probleem van vertrouwelijkheid is echter nog niet opgelost. Daarom is het voor de beveiliging van een bedrijfsnetwerk via DNSSec nog steeds belangrijk om DNS verkeer te filteren en monitoren.

Om de vertrouwelijkheid op te lossen zijn er TLS of HTTPS. Dit zijn end-to-end encryptietechnieken die het DNS verkeer authenticeren en versleutelen. Maar, het bijkomende probleem is dat wanneer deze technieken op een PC van een gebruiker worden geactiveerd, de communicatie naar de resolver versleuteld wordt en dit netwerkverkeer niet meer bruikbaar is voor de beveiliging van een bedrijfsnetwerk.

Wat is het DNS dilemma?

De winst op gebied van privacy door de communicatie te versleutelen met TLS of HTTPS wordt tenietgedaan door het verlies van beveiliging van deze technieken. En daar ontstaat het dilemma. Op veel bedrijfssystemen wordt daarom het gebruik van versleuteling van DNS verkeer ook niet toegestaan.

Maar daarmee is het probleem natuurlijk niet opgelost.

Het DNS dilemma is wel degelijk oplosbaar, maar dat vergt wel een goede planning en bewuste keuzes. Want, hoewel het netwerkverkeer door end-to-end encryptie niet meer gemonitord kan worden, geeft de naam "end-to-end" al aan dat er altijd sprake is van twee "endpoints". Dat zijn de client en de resolver in dit geval. En als je DNS security monitoring en filtering via deze twee eindpoints inricht, beveilig je dus deze 2 endpoints en voorkom je dat cybercriminelen de communicatie ertussen kunnen afluisteren of wijzigen. Met andere woorden, dan kan DNS gebruikt worden voor beveiliging én kunnen de voordelen op gebied van security en privacy gecombineerd worden.

Let wel, dat als je het DNS verkeer wil versleutelen om privacy redenen, je wel bewust moet kiezen welke resolver je gebruikt. Want, als je de resolver van jouw internetprovider gebruikt, dan kan deze provider nog steeds vastleggen welke websites jij bezoekt - en deze data eventueel ook verkopen of lekken aan derden. Het is dus geen triviale vraag welke resolver je gebruikt wanneer je kiest voor een beveiligde DNS verbinding.

Wil je de DNS communicatie in jouw organisatie beveiligen?

Wil je meer weten over de security monitoring en secure DNS die nodig is voor het beveiligen van jouw organisatienetwerk? Of ben je benieuwd hoe je overgaat tot implementatie? Neem vrijblijvend contact met ons op - we helpen je graag verder!